这是一个创建于 2547 天前的主题,其中的信息可能已经有所发展或是发生改变。
从 twitter 上发现的,https://twitter.com/James_R_Holmes/status/880593247063519232
入口:
http://13.55.234.154:8080/unstoppable/puzzle
职位可能已经过期了,不过看着挺有意思,有兴趣的可以试试。
入口:
http://13.55.234.154:8080/unstoppable/puzzle
职位可能已经过期了,不过看着挺有意思,有兴趣的可以试试。
 |
1
bymars OP 是因为太难了,所以没人留言了吗
|
 |
2
q8515620 2017-11-15 17:22:05 +08:00 via Android
进去第二个页面就不知道干嘛了😂
|
 |
4
tttttim 2017-11-15 20:05:51 +08:00 via iPhone
是要从图片里找出 ascii 吗
|
 |
6
528412 2017-11-15 20:36:33 +08:00
不能看ㄟ
|
 |
7
ik 2017-11-15 20:42:22 +08:00 via iPhone
The Server Responded with an Error
L3Vuc3RvcHBhYmxlL01hc3NpdmVseV9TbGVlcHlQYW5kYXM= 这个意思是需要一个我这种会 restart 的运维吧? |
 |
8
Keyes 2017-11-15 20:42:33 +08:00  1
@bymars
console.log("hello again! sredaeh kcehc!"); sredaeh kcehc sredaeh kcehc = reverse('check headers') |
 |
9
xqin 2017-11-15 21:29:29 +08:00
在最后一关看到的, 整个过程确实有点意思.
最后一关的地址: http://13.55.234.154:8080/unstoppable/winner_gets_vip_pass ``` <!-- ¸¸♬·¯·♩¸¸♪·¯·♫¸¸Congratulations!¸¸♬·¯·♩¸¸♪·¯·♫¸¸ We've got even greater challenges than these, and we're looking for great engineers like you to help make it happen. Send an email to me at [email protected] with your CV and I guarantee a phone interview where we can find out more about each other, and see if we could work together. P.S. please add words 'unstoppable developer' in the subject so we will know that it was you P.P.S. we are looking for people interesting in working with big data and willing to use NodeJS Cheers, James Holmes Data Lake Architect, MYOB !--> ``` |
|
10
xqin 2017-11-15 21:31:51 +08:00
服务应该是用 nodejs 做的, 因为服务器的 `X-Powered-By` 是 express (不排除是伪造的).
最后一关并没有加什么验证,所以上面 的地址 大家应该都可以打开. |
|
11
bymars OP |
 |
12
dd0754 2017-11-16 01:14:22 +08:00 1
|
|
18
bymars OP |
 |
20
SharkIng 2017-11-16 11:13:33 +08:00 1
@bymars #18 你需要两个东西,一个是 queryParams.secret_sauce 一个是 headers
|
 |
21
bibizhang 2017-11-16 11:14:17 +08:00
我不擅长解谜,但我擅长脑筋急转弯。
|
|
22
bymars OP |
|
23
xqin 2017-11-16 11:27:07 +08:00 1
@bymars
图片上的代码是这么写的吧.. ``` method === 'PATCH' ``` method 是大写的,你发的是小写的,条件都不成立,它怎么给你输出 `clue` 另外看你目前的代码, 说明你没看到图片上的代码... 再仔细看看图片上的 js 代码吧. |
|
24
SharkIng 2017-11-16 11:46:53 +08:00 1
|
 |
26
deeporist 2017-11-16 12:51:24 +08:00
./curl http://13.55.234.154:8080/unstoppable/MeadowraccoonBats?1ndex=0 > /cygdrive/z/0.jpg
./curl http://13.55.234.154:8080/unstoppable/MeadowraccoonBats?1ndex=1 > /cygdrive/z/1.jpg ./curl http://13.55.234.154:8080/unstoppable/MeadowraccoonBats?1ndex=2 > /cygdrive/z/2.jpg 然后就不知道怎么搞了 完全不明白什么叫"一张 base64 编码后的 jpg" 是说把一段数据 base64 加密后直接填充进这几个 jpg 了? |
|
28
dd0754 2017-11-16 13:15:54 +08:00
|
|
29
bymars OP #24 都已经写的很清楚了吧。就算你照着做都没问题
|
|
30
deeporist 2017-11-16 16:20:05 +08:00
|
|
31
deeporist 2017-11-16 20:51:53 +08:00
@dd0754
应该就是 http://13.55.234.154:8080/unstoppable/CleverdeerPenguins0_0 试了 curl 前面几个 url, response 头里都没有 clue 字段。 但是我也遇到跟你一样的问题, 不管怎么构造 request 头部的参数 返回的 clue 都是 base64(image/jpeg) ./curl -v -k -i -X PATCH -H "queryParams: 456" -H "headers: dfhfghn" --url http://13.55.234.154:8080/unstoppable/CleverdeerPenguins0_0 > dev\null |
|
33
deeporist 2017-11-20 10:10:15 +08:00
@xqin 是不懂 我几乎是当伪代码来猜的,我甚至连那些参数具体是什么都不是很确定。。。。用 headers 构造魔术数那步就看不懂是什么意思了 只看出下面好像是猜数字 headers 是不是指 http 请求的整个头部啊?....求指点 还是挺好奇的
|
|
34
xqin 2017-11-20 13:47:18 +08:00
@deeporist
queryParams 是指的 URL 参数,所以 queryParams.secret_sauce 的意思就是你的 URL 中有这个名字为 secret_sauce 的参数, 然后它的值代表着要取的 headers 里面的那个 header 的名字,再然后那个 header 的值就是你要猜的数字(以十六进制的形式表示). method 是指的请求的 method (比如平时觉的 GET/POST) headers 是指的 HTTP 请求头中的字段 ``` curl -v -k -i -X PATCH -H "xx: 你猜的数字" --url "http://13.55.234.154:8080/unstoppable/CleverdeerPenguins0_0?secret_sauce=xx" ``` |
|
35
deeporist 2017-11-21 13:27:21 +08:00
@xqin 原来如此!是这个意思啊!多谢 终于破关了!虽然大学学的数据库忘得差不多了 猜字段名费了我老半天功夫(当然就是在浪费功夫瞎猜而已)
|
 |
40
Wweian 2019-09-10 19:34:36 +08:00
@Keyes
welcome-to-the-maze.herokuapp.com/simplicity/Cutedevourer_Ninja/?name=single_quote 这个是网址, 我现在知道的是在网址后面加'会出现错误信息,尝试过在 url 那边添加 query 但是没用 T T |
Select Language